Google+ Facebook Twitter XING LinkedIn GoogleCurrents YouTube

Risikomanagement

IT-Notfallplanung in 8 Schritten

| Autor / Redakteur: Jörg Kretzschmar / Peter Schmitz

Feuer, Hochwasser oder selbst ein einfacher Virenbefall, viele Faktoren können die Geschäftsprozesse eines Unternehmens lahmlegen. Die IT ist dabei immer mit betroffen und bedarf einer guten IT-Notfallplanung.
Feuer, Hochwasser oder selbst ein einfacher Virenbefall, viele Faktoren können die Geschäftsprozesse eines Unternehmens lahmlegen. Die IT ist dabei immer mit betroffen und bedarf einer guten IT-Notfallplanung. (Bild: Pixabay / CC0)

Es müssen nicht immer gleich Katastrophen sein, wie ein Brand im Rechenzentrum oder ein Hochwasserschaden in der Firma. Auch kleinere Störungen der IT-Systeme, wie der Ausfall eines Servers oder einer anderen Komponente, können die Geschäftsprozesse eines Unternehmens empfindlich stören oder vollständig lahmlegen. Eine strukturierte Notfallplanung ist daher auch für kleine Unternehmen unverzichtbar.

Von Ausfällen betroffene Unternehmen erleiden in der Regel schmerzhafte finanzielle Schäden. Auch Imageschäden sind oft die Folge, vor allem, wenn sich herausstellt, dass sie den Krisenfall nicht schnell bzw. allein meistern können.

Besonders für kleine und mittelständische Unternehmen (KMU) nehmen solche Fälle schnell existenzbedrohende Ausmaße an. Wohl dem also, der vorgesorgt hat — beispielsweise in Form einer umfassenden prozessorientierten Notfallplanung.

„Wir machen das in Excel“

Der Chef möchte in der Regel kein Geld für die Umsetzung einer Notfallplanung in die Hand nehmen. Stattdessen soll diese mit den gängigen Office-Programmen erledigt werden. Der IT-Leiter ist ohnehin schon überlastet und bekommt nun die zusätzliche Aufgabe, die IT-Infrastruktur zu dokumentieren. Excel und andere Office-Anwendungen, bei vielen KMU das Mittel der Wahl, sind jedoch aufgrund ihres sehr hohen Pflegeaufwands für eine Notfallplanung relativ ungeeignet. Hinzu kommt, dass die Daten an vielen verschiedenen Stellen gepflegt werden müssen. Dieser Weg ist nicht nur demotivierend für die Mitarbeiter, sondern wohl auch die teuerste Variante, eine Notfallplanung oder ein Informationssicherheits-Managementsystem (ISMS) zu erstellen und zu pflegen. Zudem ist diese Variante für externe Berater oft nur eine willkommene Gelegenheit, viele Tage zu berechnen.

Warum ist es für mich als Organisation dennoch wichtig, eine IT-Notfallplanung zu haben, obwohl das im ersten Schritt mehr Aufwand und mehr Kosten bedeutet? Die IT-Notfallplanung ermöglicht in meinem Unternehmen mehr Transparenz und zeigt Gefährdungen der Kernprozesse auf. Das könnten Kopfmonopole sein, also einzelne Mitarbeiter, die über exklusives wichtiges Spezialwissen verfügen. Aber auch Sicherheitslücken oder fehlende Redundanzen in den Prozessen können die Kernprozesse gefährden. Durch Transparenz habe ich die Möglichkeit, zielgerichtete Investitionen zu tätigen und auf diese Weise Geld einzusparen.

Dennoch scheitert die Umsetzung einer Notfallplanung oftmals an der Kommunikation im Unternehmen. IT und Geschäftsführung sprechen nicht die gleiche Sprache. Werden der Geschäftsführung allerdings klare Zahlen vorgelegt und das daraus entstehende Risiko bei einem Ausfall benannt, hat sie die Möglichkeit, fundierte Entscheidungen zu treffen.

Bei den Kernprozessen ansetzen

Oft fehlt diese Grundlage für eine fundierte Entscheidung jedoch, und das hat einen einfachen Grund. Bei der Notfallplanung wird meistens von der Infrastruktur im Unternehmen ausgegangen. Wenn man jedoch bei den Kernprozessen ansetzt, die Verknüpfung zur IT-Infrastruktur darstellt und die dazugehörigen Ausfallszenarien definiert, wird ein klares Risiko deutlich. Auf diese Weise lässt sich der Schaden im Falle eines Ausfalls für die Geschäftsführung leicht beziffern. Demgegenüber die Investition für eine gute Notfallplanung betriebswirtschaftlich aufzurechnen, ist anschließend kein Problem mehr. Diese Herangehensweise hat noch einen weiteren entscheidenden Vorteil: Anstatt sich auf die Infrastruktur zu konzentrieren und dort stehen zu bleiben, kann eine umfassende prozessorientierte Notfallplanung entstehen, die die IT mit einbezieht und die Auswirkungen auf die Kernprozesse aufzeigt. Eine solche Notfallplanung lässt sich in acht einfachen Schritten realisieren.

Notfallplanung in acht Schritten

Schritt 1: In dieser Phase werden alle notfallkritischen Elemente identifiziert und aufgenommen. Ist die Liste vollständig, werden die Elemente in Prozesse, Services und Basisservices eingeteilt und nach ihrer Kritikalität bewertet. Diese Auflistung gibt bereits Aufschluss über mögliche Ausfallszenarien.

Schritt 2: Aus den möglichen Ausfallszenarien ergibt sich bereits der zweite Schritt. Sind die Szenarien bekannt, kann das Schadensausmaß und mögliche Folgeschäden anhand der Liste aus Schritt eins bewertet werden.

Schritt 3: Je nach Unternehmensart und Notfallsituation können zusätzliche, gesetzliche Bestimmungen gelten. Diese sind vom Schadensausmaß sowie den möglichen Folgeschäden abhängig. Sie müssen in einer Notfallsituation auf jeden Fall und sofort umgesetzt werden, daher sind sie unverzichtbarer Teil einer jeden Notfallplanung.

Schritt 4: Ein Notfall erfordert schnelles Handeln von allen Verantwortlichen. Daher sollten im vierten Schritt die Mitarbeiter mit den entsprechenden Fähigkeiten aufgelistet werden. Auf diese Weise werden Kopfmonopole sichtbar.

Schritt 5: Im nächsten Schritt werden den Mitarbeitern, je nach Ausfallszenario, Rollen zugewiesen. So wissen die Mitarbeiter im Krisenfalls sofort, welche Aufgaben und Befugnisse sie haben. In Notfallteams können die Mitarbeiter dann zielgerichtet und schnell handeln.

Schritt 6: Damit im Notfall alle wichtigen Dokumente sofort vorliegen, sollten im Rahmen einer umfassenden Notfallplanung alle wichtigen Dokumente erfasst und an einer zentralen Stelle archiviert werden. Dazu gehören zum Beispiel Handbücher, Lizenzurkunden und Service-Level-Agreements, aber auch Lage- und Raumpläne. Die Dokumente sollten am besten digital erfasst und über eine Zuordnungsfunktion für ihr jeweiliges Ausfallszenario markiert werden. Das erleichtert das schnelle Auffinden der Dokumente.

Schritt 7: Erst im vorletzten Schritt wird die IT-Infrastruktur betrachtet. In diesem Schritt wird zunächst die komplette IT-Infrastruktur einer Organisation aufgenommen und dokumentiert. Dazu gehört selbstverständlich auch, wo sich zum Beispiel eine Hardware befindet oder von welchen anderen Infrastrukturelementen sie abhängig ist.

Schritt 8: Im achten und letzten Schritt werden einzelne Teile der IT-Infrastruktur den unternehmenskritischen Prozessen zugeordnet. Dieser letzte Schritt ist besonders wichtig, da hier die entsprechenden Abhängigkeiten dargestellt werden. Gerade deshalb ist aber eine gute Grundlage durch die Schritte 1 bis 7 unerlässlich. Aus diesem Grund ist es erfolgversprechend, für eine umfassende Notfallplanung eben nicht bei der Infrastruktur, sondern bei den Prozessen anzusetzen.

Fazit

Eine umfassende Notfallplanung muss nicht kompliziert sein; vorausgesetzt, man macht sich zuvor Gedanken über die Vorgehensweise und die Umsetzung. Der Vorteil, den eine softwaregestützte Lösung bietet, die diese Schritte in einem einfachen, digitalen System nachvollzieht, liegt auf der Hand. Man wird strukturiert durch den Aufnahmeprozess geleitet und kann vorhandene IT-Systeme an die Lösung anbinden. Einmal installiert, hält die Lösung so alle Dokumente und Serverinformationen ohne großen Aufwand aktuell. Außerdem lassen sich mit einer Software Abhängigkeiten zwischen Prozessen, Services und IT ebenso abbilden wie das Personal mit den entsprechenden Verantwortlichkeiten. Damit sind Organisationen auf jedes Szenario vorbereitet und können im Notfall schnell und gezielt reagieren.

Über den Autor: Jörg Kretzschmar ist Senior Consultant bei Contechnet Ltd.

Dieser Artikel ist zuerst auf unserem Schwesterportal Security Insider erschienen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44646102 / Unternehmenssoftware)